a un eventuel controle sur place de la cnil - L'Afcdp

More documents

Recommendations

Info

7. Les agents vous présentent leur lettre de missionLa décision du Président de la CNIL est notifiée au début du contrôle au responsable des lieux où se situent lestraitements qui font l’objet des vérifications.Pour ce faire, les agents de la CNIL doivent présenter leur lettre de mission, signée 49 du Président de laCommission.Figure 15 : Copie d’un ordre de missionCette lettre de mission comprend les informations suivantes ;• date du contrôle ;• lieu du contrôle ;• objet du contrôle ;• liste des personnes habilitées chargées de ce contrôle etleur fonction au sein de la CNILLa lettre de mission est rarement précise. Lors du contrôle, lesagents peuvent avoir pour consigne de ne pas répondre à toutequestion quant à la genèse de leur mission et son périmètre, ceciafin de ne pas se retrouver « limités » dans leur démarche (avec unordre de mission trop précis, une infraction découverte « parhasard » à l’occasion du contrôle, mais située hors du champindiqué, risquerait d’échapper à toute sanction).D’après les entreprises ayant subi un contrôle que le groupe detravail a pu auditionner, cette lettre de mission indique égalementrarement la raison (genèse).Pour cette raison, il est indispensable de commencer par discuter avec les agents (« Nous serons mieux à mêmede vous aider si vous nous indiquez ce que vous cherchez »), afin• d’obtenir le plus d’informations possibles sur les raisons de ce contrôle 50• de sélectionner les bons interlocuteurs en face des agents chargés du contrôle• de restreindre au seul périmètre détecté les informations qui vont être présentéesExemple : Si, durant cette échange initial, vous détectez que la mission est focalisée sur le périmètre« Ressources Humaines », vous êtes à même de faire intervenir les personnes concernées et de faire préparer unPC doté des droits d’accès à ce seul périmètre.Naturellement, les agents peuvent prendre toute initiative lors de leur mission et élargir le champ de leursinvestigations. Ainsi, durant un contrôle focalisé sur les fichiers Ressources Humaines, les agents ont égalementcherché à détecter la présence d’outils de traçabilité (Contrôle de l’activité du salarié ; accès Web, contrôle de lamessagerie, etc.).Durant cet entretien initial, on n’hésitera pas à vérifier que les agents ont une bonne connaissance de l’entreprise,de son organisation et de ses métiers. Une entreprise contrôlée a eu la mauvaise surprise de s’apercevoir qu’elleétait identifiée à tort comme soumise à Sarbanes-Oxley.Une entreprise condamnée à une sanction pécuniaire suite à un contrôle et ayant présenté un recours devant leConseil d’Etat, soutenait que « seule la Commission nationale de l'informatique et des libertés (CNIL) estcompétente pour diligenter une mission de contrôle et non son président ». Elle a été déboutée. Dans la note dedécision, on relève que « le président de la CNIL est compétent pour diligenter une mission de contrôle ».49 Comment, dans la réalité, valider ce point ? 1) cela voudrait dire fournir un exemplaire de la signature au personnel d’accueil et surtoutne pas oublier de les prévenir quand il y aura un changement de président…50 Il semble que le contrôle soit la seule réelle opportunité de recueillir auprès de la CNIL quelques informations concernant ce contrôle(dont la genèse et le périmètre) : après, c’est trop tard.Page 42 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
7.1. Les textes de référenceNous reprenons ici les extraits directement liés à l’ordre (ou lettre) de mission.Loi du 6 janvier 1978 modifiée le 6 août 2004« Article 44 – II. – […] ont accès, de 6 heures à 21 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes,installations ou établissements servant à la mise en œuvre d'un traitement de données à caractère personnel etqui sont à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.Le procureur de la République territorialement compétent en est préalablement informé ».Décret n° 2005-1309 du 20 octobre 2005 (modifié)« Article 61 :Lorsque la commission décide un contrôle sur place, elle en informe préalablement par écrit le procureur de laRépublique dans le ressort territorial duquel doit avoir lieu la visite ou la vérification.Le procureur de la République est informé au plus tard vingt-quatre heures avant la date à laquelle doit avoirlieu le contrôle sur place. Cet avis précise la date, l'heure, le lieu et l'objet du contrôle.Article 62Lorsque la commission effectue un contrôle sur place, elle informe au plus tard au début du contrôle leresponsable des lieux de l'objet des vérifications qu'elle compte entreprendre, ainsi que de l'identité et de laqualité des personnes chargées du contrôle. Lorsque le responsable du traitement n'est pas présent sur les lieuxdu contrôle, ces informations sont portées à sa connaissance dans les huit jours suivant le contrôle.Dans le cadre de leurs vérifications, les personnes chargées du contrôle présentent en réponse à toute demandeleur ordre de mission et, le cas échéant, leur habilitation à procéder aux contrôles ».Règlement intérieur (Délibération CNIL n°2006-147 du 23 mai 2006)Concernant l’Article 62 : « Notification de mission de contrôleLorsque la mission de contrôle sur place est notifiée préalablement à son déroulement, il peut être joint à lalettre une demande visant à obtenir des informations sur l'architecture informatique en place, la mise àdisposition des personnels habilités à accéder aux applications et, le cas échéant, un accès direct auxsystèmes ».Concernant l’Article 59 : « Objet des missions de contrôleLes missions de contrôle sur place ont pour objet :• d'examiner la régularité au regard des articles 22 à 27 de la loi du 6 janvier 1978 d'un traitement misen œuvre par une ou plusieurs personnes ;• de s'assurer que le traitement mis en œuvre correspond au traitement ayant fait l'objet des formalitéspréalables et en particulier aux délibérations de la commission ;• de vérifier que l'ensemble des dispositions de la loi sont respectées ».8. Comment se déroule un contrôle ?Un Correspondant Informatique & Libertés auditionné par le groupe AFCDP a communiqué un extrait de laprocédure mise en œuvre au sein de son entité (il ne s’agit que d’un exemple, dont on peut s’inspirer pour rédigersa propre procédure, en tenant compte de ses spécificités) :« L’entité contrôlée met à la disposition des agents de la CNIL ;• une pièce, indépendante, pour effectuer le contrôle, le cas échéant de l’eau et du café à disposition ;• l’accès à une photocopieuse ;• l’accès à un téléphone permettant les appels vers la province et les téléphones portables (il est possiblequ’ils aient besoin de joindre le responsable des traitements ou le CIL) ;• Un poste de travail (ou terminal) sur lequel pourront être présentées les applications (en ligne) etl’accès au système ;Page 43 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Page 6 and 7: 1. Le contrôle sur place : une ré
Page 8 and 9: questionnaire comprenant des questi
Page 10 and 11: Article 62Lorsque la commission eff
Page 12 and 13: protection de la vie privée de l'u
Page 14 and 15: Auto saisineLa Commission se saisit
Page 16 and 17: Plaintes émanant de salariés, Com
Page 18 and 19: Sur base du programme annuel de con
Page 20: • Les conditions de conservation
Page 23 and 24: Les sessions de la formation restre
Page 25 and 26: Figure 9 : Nombre decontrôles sur
Page 27 and 28: C’est en 2007 que, pour la premi
Page 29 and 30: l’opérateur Telefonica venait de
Page 31 and 32: Ebranlée par les scandales, l’Al
Page 33 and 34: On voit donc que le Responsable de
Page 35 and 36: lors des contrôles effectués, a
Page 37 and 38: Le 23 mars 2010 la « petite loi »
Page 39 and 40: Depuis la décision du Conseil d’
Page 41: Ceux des agents qui peuvent être a
Page 45 and 46: Personnels d’accueil : Chargé de
Page 47 and 48: Il convient de fournir la significa
Page 49 and 50: sensibilité, non seulement continu
Page 51 and 52: santé, et qui est mis en œuvre pa
Page 53 and 54: égulièrement notifiés ». La soc
Page 55 and 56: Ils peuvent prendre connaissance du
Page 57 and 58: La « petite loi » votée le 23 ma
Page 59 and 60: • opposition à l’exercice des
Page 61 and 62: Les commissaires de la CNIL peuvent
Page 63 and 64: L’agent de contrôle peut-il ques
Page 65 and 66: Par contre, dans le cas où la plai
Page 67 and 68: • Les contrôleurs sont tenus au
Page 69 and 70: Article 11-2°-c prévoyant que la
Page 71 and 72: La CNIL estime de ce fait que les c
Page 73 and 74: destinataires exacts des données,
Page 75 and 76: 18.7. Collecte de données personne
Page 77 and 78: Le droit d’accès s’exerce dés
Page 79 and 80: les différentes mesures prises pou
Page 81 and 82: importants ayant eux-mêmes engendr

a un eventuel controle sur place de la cnil - L'Afcdp

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?